Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Upcoming SlideShare
Loading in...5
×
 

Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT

on

  • 2,826 views

Mô tả những thách thức của việc bảo mật thông tin ...

Mô tả những thách thức của việc bảo mật thông tin
Định nghĩa bảo mật thông tin và giải thích được lý do
khiến bảo mật thông tin trở nên quan trọng
Nhận diện các dạng tấn công phổ biến hiện nay
Liệt kê các bước cơ bản của một cuộc tấn công
Mô tả năm nguyên tắc phòng thủ cơ bản

Statistics

Views

Total Views
2,826
Views on SlideShare
2,690
Embed Views
136

Actions

Likes
2
Downloads
477
Comments
0

1 Embed 136

http://forum.hoclaptrinhweb.com 136

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT Presentation Transcript

  • Bài 1: GIỚI THIỆU VỀ BẢO MẬT
  • Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản Mục tiêu bài học Mô tả những thách thức của việc bảo mật thông tin Định nghĩa bảo mật thông tin và giải thích được lý do khiến bảo mật thông tin trở nên quan trọng Nhận diện các dạng tấn công phổ biến hiện nay Liệt kê các bước cơ bản của một cuộc tấn công Mô tả năm nguyên tắc phòng thủ cơ bản Bài 1 - Giới thiệu về bảo mật 2
  • Những thử thách đối với bảo mật thông tin Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21 Bảo mật cá nhân Bảo mật thông tin Bảo mật thông tin Không có giải pháp đơn giản Nhiều dạng tấn công khác nhau Việc phòng thủ chống lại các cuộc tấn công thường khó khăn Nhữngsố liệu nổi bật về bảo mật trên thế giới trong thế kỷ 21 Bảo mật cá nhân Bảo mật thông tin Bảo mật thông tin Không có giải pháp đơn giản Nhiều dạng tấn công khác nhau Việc phòng thủ chống lại các cuộc tấn công thường khó khăn Bài 1 - Giới thiệu về bảo mật 3
  • Các cuộc tấn công hiện nay Sức mạnh tính toán ngày càng được nâng cao Giúp cho việc phá mật khẩu dễ dàng Những lỗ hổng phần mềm thường không được vá Các điện thoại thông minh trở thành mục tiêu tấn công mới Bài 1 - Giới thiệu về bảo mật 4
  • Các cuộc tấn công vào bảo mật hiện nay (tiếp tục) Các ví dụ về những cuộc tấn công gần đây Phần mềm diệt virus giả mạo Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng Các vụ tấn công ngân hàng trực tuyến Cuộc tranh luận ở Hội nghị về Tin tặc Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria Một kiểu lừa đảo qua Internet hàng đầu Đánh cắp danh tính nhờ sử dụng Firesheep Phần mềm độc hại Các thiết bị USB đã bị lây nhiễm Các ví dụ về những cuộc tấn công gần đây Phần mềm diệt virus giả mạo Được quảng cáo bởi những kẻ lấy trộm thẻ tín dụng Các vụ tấn công ngân hàng trực tuyến Cuộc tranh luận ở Hội nghị về Tin tặc Vụ lừa đảo lệ phí tinh vi mang số hiệu 419 ở Nigeria Một kiểu lừa đảo qua Internet hàng đầu Đánh cắp danh tính nhờ sử dụng Firesheep Phần mềm độc hại Các thiết bị USB đã bị lây nhiễm Bài 1 - Giới thiệu về bảo mật 5
  • Các vụ đánh cắp thông tin điển hình trong vòng một tháng Tổ chức Mô tả cách thông tin bị đánh cắp SL danh tính bị lộ Seacoast Radiology, NH Thông tin cá nhân đã bị tiết lộ bởi một vụ vi phạm bảo mật 231.400 DeviantART, Silverpop Systems Inc., CA Những kẻ tấn công đã tiết lộ thông tin của toàn bộ người dùng trong cơ sở dữ liệu. 13.000.000DeviantART, Silverpop Systems Inc., CA Những kẻ tấn công đã tiết lộ thông tin của toàn bộ người dùng trong cơ sở dữ liệu. Trường đại học tổng hợp bang Ohio, OH Một số cá nhân đăng nhập trái phép và truy cập thông tin về sinh viên và các thành viên của trường. 750.000 Gawker, NY Kẻ tấn công truy cập vào cơ sở dữ liệu, lấy được mật khẩu + e-mail của người dùng và nhân viên. 1.300.000 Bài 1 - Giới thiệu về bảo mật 6
  • Những khó khăn trong việc phòng thủ chống lại các vụ tấn công Các thiết bị kết nối toàn cầu Sự gia tăng tốc độ của các vụ tấn công Các cuộc tấn công ngày càng tinh vi hơn Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn Vá lỗi chậm Việc cung cấp các bản vá còn yếu kém Các vụ tấn công phân tán Người dùng bị bối rối Các thiết bị kết nối toàn cầu Sự gia tăng tốc độ của các vụ tấn công Các cuộc tấn công ngày càng tinh vi hơn Các công cụ tấn công ngày càng đơn giản và sẵn dùng Các lỗ hổng được phát hiện nhanh hơn Vá lỗi chậm Việc cung cấp các bản vá còn yếu kém Các vụ tấn công phân tán Người dùng bị bối rối Bài 1 - Giới thiệu về bảo mật 7
  • Bảo mật thông tin là gì? Trước khi có thể phòng thủ, bạn cần hiểu: Bảo mật thông tin là gì? Tại sao nó quan trọng? Những kẻ tấn công là ai? Bài 1 - Giới thiệu về bảo mật 8
  • Định nghĩa bảo mật thông tin Bảo mật (security) Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại Mối nguy hại có thể do chủ ý hoặc vô ý Phải hy sinh sự tiện lợi để đổi lấy sự an toàn Bảo mật thông tin (information security) Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức Bảo mật (security) Các bước để bảo vệ người hoặc tài sản khỏi mối nguy hại Mối nguy hại có thể do chủ ý hoặc vô ý Phải hy sinh sự tiện lợi để đổi lấy sự an toàn Bảo mật thông tin (information security) Bảo vệ các thông tin ở dạng số hóa: Thông tin cung cấp giá trị cho con người và cho tổ chức Bài 1 - Giới thiệu về bảo mật 9
  • Định nghĩa bảo mật thông tin (tiếp) Ba hình thức bảo mật thông tin: thường gọi là CIA Sự cẩn mật (Confidentiality) Chỉ những cá nhân được phép mới có thể truy cập thông tin Sự toàn vẹn (Integrity) Đảm bảo thông tin chính xác và không bị thay đổi Sự sẵn sàng (Availability) Những người có quyền đều có thể truy cập được thông tin Ba hình thức bảo mật thông tin: thường gọi là CIA Sự cẩn mật (Confidentiality) Chỉ những cá nhân được phép mới có thể truy cập thông tin Sự toàn vẹn (Integrity) Đảm bảo thông tin chính xác và không bị thay đổi Sự sẵn sàng (Availability) Những người có quyền đều có thể truy cập được thông tin Bài 1 - Giới thiệu về bảo mật 10
  • Định nghĩa bảo mật thông tin (tiếp) Các biện pháp cần thực hiện để bảo mật thông tin Sự xác thực (authentication) Đảm bảo một cá nhân đúng như những gì họ khai báo Sự ủy quyền (authorization) Cấp phép truy cập thông tin Ghi chép (accounting) Cung cấp khả năng theo dõi các sự kiện Các biện pháp cần thực hiện để bảo mật thông tin Sự xác thực (authentication) Đảm bảo một cá nhân đúng như những gì họ khai báo Sự ủy quyền (authorization) Cấp phép truy cập thông tin Ghi chép (accounting) Cung cấp khả năng theo dõi các sự kiện Bài 1 - Giới thiệu về bảo mật 11
  • Bài 1 - Giới thiệu về bảo mật 12 Hình 1-3 Các thành phần bảo mật thông tin © Cengage Learning 2012
  • Định nghĩa bảo mật thông tin (tiếp) Tầng Mô tả Các sản phẩm bảo mật Là hình thức bảo mật vật lý, có thể đơn giản như những chiếc khóa cửa, hay phức tạp hơn như các thiết bị bảo mật mạng. Con người Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu Bài 1 - Giới thiệu về bảo mật 13 Bảng 1-3 Các tầng bảo mật thông tin Những người cài đặt và sử dụng một cách đúng đắn các sản phẩm bảo mật để bảo vệ dữ liệu Các thủ tục, quy trình Các kế hoạch và chính sách do tổ chức thiết lập để đảm bảo rằng con người sử dụng các sản phẩm một cách chính xác.
  • Các thuật ngữ bảo mật thông tin Tài sản (Asset) Là phần tử có giá trị Mối đe dọa (Threat) Là các hành động hoặc sự kiện có khả năng gây nguy hại Tác nhân đe dọa (Threat agent) Người hoặc phần tử có sức mạnh gây ra mối đe dọa Tài sản (Asset) Là phần tử có giá trị Mối đe dọa (Threat) Là các hành động hoặc sự kiện có khả năng gây nguy hại Tác nhân đe dọa (Threat agent) Người hoặc phần tử có sức mạnh gây ra mối đe dọa Bài 1 - Giới thiệu về bảo mật 14
  • Tên thành phần Ví dụ Có là tài sản quan trọng? Thông tin Cơ sở dữ liệu khách hàng, nhân viên, sản xuất, bán hàng, tiếp thị, và tài chính Có: Cực kỳ khó thay thế Phần mềm ứng dụng Ứng dụng giao dịch đơn hàng chuyên dụng, bộ xử lý văn bản phổ dụng Có: Là phần tùy chỉnh dành riêng cho tổ chức Không: Phần mềm phổ dụng Các tài sản công nghệ thông tin Bài 1 - Giới thiệu về bảo mật 15 Phần mềm ứng dụng Ứng dụng giao dịch đơn hàng chuyên dụng, bộ xử lý văn bản phổ dụng Có: Là phần tùy chỉnh dành riêng cho tổ chức Không: Phần mềm phổ dụng Phần mềm hệ thống Hệ điều hành Không: Có thể thay thế dễ dàng Các phần tử vật lý Server, bộ định tuyến [router], đĩa DVD, bộ cấp nguồn Không: Có thể thay thế dễ dàng Các dịch vụ Dịch vụ truyền âm thanh và dữ liệu Không: Có thể thay thế dễ dàng
  • Các thuật ngữ bảo mật thông tin (tiếp tục) Lỗ hổng (vulnerability) Là những thiếu sót hay yếu điểm Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật Rủi ro (risk) Khả năng tác nhân đe dọa khai thác lỗ hổng Không thể được loại bỏ hoàn toàn Chi phí sẽ quá cao Mất quá nhiều thời gian để thực hiện Một số cấp độ rủi ro phải được giả định Lỗ hổng (vulnerability) Là những thiếu sót hay yếu điểm Tác nhân đe dọa có thể lợi dụng để vượt qua sự bảo mật Rủi ro (risk) Khả năng tác nhân đe dọa khai thác lỗ hổng Không thể được loại bỏ hoàn toàn Chi phí sẽ quá cao Mất quá nhiều thời gian để thực hiện Một số cấp độ rủi ro phải được giả định Bài 1 - Giới thiệu về bảo mật 16
  • Bài 1 - Giới thiệu về bảo mật 17 Hình 1-4 Minh họa các thành phần bảo mật thông tin © Cengage Learning 2012
  • Các thuật ngữ bảo mật thông tin (tiếp tục) Các lựa chọn để đối phó với rủi ro Chấp nhận rủi ro Cần biết rằng mất mát có thể xảy ra Làm giảm rủi ro Thực hiện các biện pháp phòng ngừa Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng ngừa Chuyển rủi ro sang một người khác Ví dụ: mua bảo hiểm Các lựa chọn để đối phó với rủi ro Chấp nhận rủi ro Cần biết rằng mất mát có thể xảy ra Làm giảm rủi ro Thực hiện các biện pháp phòng ngừa Hầu hết các rủi ro bảo mật thông tin đều có thể được phòng ngừa Chuyển rủi ro sang một người khác Ví dụ: mua bảo hiểm Bài 1 - Giới thiệu về bảo mật 18
  • Hiểu rõ tầm quan trọng của bảo mật thông tin Phòng ngừa đánh cắp dữ liệu Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ liệu Đánh cắp dữ liệu kinh doanh Thông tin về quyền sở hữu Đánh cắp dữ liệu cá nhân Mã số thẻ tín dụng Phòng ngừa đánh cắp dữ liệu Bảo mật thường đi đôi với việc phòng ngừa đánh cắp dữ liệu Đánh cắp dữ liệu kinh doanh Thông tin về quyền sở hữu Đánh cắp dữ liệu cá nhân Mã số thẻ tín dụng Bài 1 - Giới thiệu về bảo mật 19
  • Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Cản trở việc đánh cắp danh tính Sử dụng trái phép thông tin của người khác Thường nhằm mục đích thu lợi về tài chính Ví dụ: Đánh cắp SSN cá nhân Tạo một tài khoản tín dụng mới Sử dụng tài khoản để mua hàng Để lại các khoản nợ chưa thanh toán Cản trở việc đánh cắp danh tính Sử dụng trái phép thông tin của người khác Thường nhằm mục đích thu lợi về tài chính Ví dụ: Đánh cắp SSN cá nhân Tạo một tài khoản tín dụng mới Sử dụng tài khoản để mua hàng Để lại các khoản nợ chưa thanh toán Bài 1 - Giới thiệu về bảo mật 20
  • Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Tránh các hậu quả liên quan tới pháp luật Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo hiểm sức khỏe năm 1996 (HIPAA) Đạo luật Sarbanes-Oxley năm 2002 (Sarbox) Đạo luật Gramm-Leach-Bliley (GLBA) Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003) Tránh các hậu quả liên quan tới pháp luật Luật pháp bảo vệ quyền riêng tư đối với dữ liệu điện tử Đạo luật trách nhiệm giải trình và tính khả chuyển trong bảo hiểm sức khỏe năm 1996 (HIPAA) Đạo luật Sarbanes-Oxley năm 2002 (Sarbox) Đạo luật Gramm-Leach-Bliley (GLBA) Đạo luật khai báo vi phạm bảo mật cơ sở dữ liệu của bang California (2003) Bài 1 - Giới thiệu về bảo mật 21
  • Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Duy trì sản xuất Việc khắc phục hậu quả sau khi bị tấn công làm lãng phí các tài nguyên Thời gian và tiền bạc Bài 1 - Giới thiệu về bảo mật 22 Bảng 1-6 Chi phí của các cuộc tấn công
  • Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism) Mục tiêu: thông tin, hệ thống máy tính, dữ liệu Mục đích nhằm: Gây hoảng loạn tinh thần Kích động bạo lực Gây ra thảm họa tài chính Đẩy lui chủ nghĩa khủng bố tin học (cyberterrorism) Mục tiêu: thông tin, hệ thống máy tính, dữ liệu Mục đích nhằm: Gây hoảng loạn tinh thần Kích động bạo lực Gây ra thảm họa tài chính Bài 1 - Giới thiệu về bảo mật 23
  • Hiểu rõ tầm quan trọng của bảo mật thông tin (tiếp) Những mục tiêu tấn công của khủng bố tin học Ngân hàng Quân đội Năng lượng (các nhà máy điện) Giao thông (các trung tâm điều khiển hàng không) Các hệ thống cấp nước Những mục tiêu tấn công của khủng bố tin học Ngân hàng Quân đội Năng lượng (các nhà máy điện) Giao thông (các trung tâm điều khiển hàng không) Các hệ thống cấp nước Bài 1 - Giới thiệu về bảo mật 24
  • Những kẻ tấn công là ai? Phân loại những kẻ tấn công Hacker (tin tặc) Kẻ viết kịch bản non tay (Script kiddie) Gián điệp (Spy) Nội gián (Insider) Tội phạm máy tính (Cybercriminal) Những kẻ khủng bố tin học (Cyberterrorist) Phân loại những kẻ tấn công Hacker (tin tặc) Kẻ viết kịch bản non tay (Script kiddie) Gián điệp (Spy) Nội gián (Insider) Tội phạm máy tính (Cybercriminal) Những kẻ khủng bố tin học (Cyberterrorist) Bài 1 - Giới thiệu về bảo mật 25
  • Hacker Hacker (tin tặc) Những người sử dụng kỹ năng máy tính để tấn công các máy tính Thuật ngữ không phổ biến trong cộng đồng bảo mật Hacker mũ trắng (white hat hacker) Mục đích chỉ ra các lỗ hổng bảo mật Không đánh cắp hoặc làm hỏng dữ liệu Hacker mũ đen (black hat hacker) Mục đích gây hại và hủy diệt Hacker (tin tặc) Những người sử dụng kỹ năng máy tính để tấn công các máy tính Thuật ngữ không phổ biến trong cộng đồng bảo mật Hacker mũ trắng (white hat hacker) Mục đích chỉ ra các lỗ hổng bảo mật Không đánh cắp hoặc làm hỏng dữ liệu Hacker mũ đen (black hat hacker) Mục đích gây hại và hủy diệt Bài 1 - Giới thiệu về bảo mật 26
  • Kẻ viết kịch bản non tay Kẻ viết kịch bản non tay (script kiddie) Mục đích: bẻ khóa máy tính để phá hoại Là những người dùng không có kỹ năng Tải về các phần mềm tấn công tự động (mã kịch bản) Sử dụng những phần mềm đó để thực hiện các hành vi nguy hại Các phần mềm tấn công hiện nay đa số đều có hệ thống menu Việc tấn công trở nên dễ dàng hơn với những người dùng không có kỹ năng 40% các vụ tấn công được thực hiện bởi những kẻ viết kịch bản non tay Kẻ viết kịch bản non tay (script kiddie) Mục đích: bẻ khóa máy tính để phá hoại Là những người dùng không có kỹ năng Tải về các phần mềm tấn công tự động (mã kịch bản) Sử dụng những phần mềm đó để thực hiện các hành vi nguy hại Các phần mềm tấn công hiện nay đa số đều có hệ thống menu Việc tấn công trở nên dễ dàng hơn với những người dùng không có kỹ năng 40% các vụ tấn công được thực hiện bởi những kẻ viết kịch bản non tay Bài 1 - Giới thiệu về bảo mật 27
  • Gián điệp Gián điệp máy tính (spy) Người được thuê để bẻ khóa máy tính Mục đích đánh cắp thông tin Được thuê để tấn công một máy tính hoặc một hệ thống cụ thể: Chứa các thông tin nhạy cảm Mục đích: đánh cắp thông tin mà không gây ra sự chú ý đối với các hành động của họ Họ có kỹ năng máy tính rất xuất sắc: Để tấn công và che đậy dấu vết Gián điệp máy tính (spy) Người được thuê để bẻ khóa máy tính Mục đích đánh cắp thông tin Được thuê để tấn công một máy tính hoặc một hệ thống cụ thể: Chứa các thông tin nhạy cảm Mục đích: đánh cắp thông tin mà không gây ra sự chú ý đối với các hành động của họ Họ có kỹ năng máy tính rất xuất sắc: Để tấn công và che đậy dấu vết Bài 1 - Giới thiệu về bảo mật 28
  • Nội gián Nội gián (insider) Nhân viên, nhà thầu, và các đối tác kinh doanh 48% hành vi vi phạm là do nội gián gây ra Ví dụ về các vụ tấn công do nội gián gây ra Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏe của những người nổi tiếng. Do bất mãn vì sắp bị đuổi việc Nhân viên chính phủ phát tán mã kịch bản độc hại Nhà đầu tư chứng khoán che giấu các khoản lỗ thông qua các giao dịch giả mạo Bình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm Nội gián (insider) Nhân viên, nhà thầu, và các đối tác kinh doanh 48% hành vi vi phạm là do nội gián gây ra Ví dụ về các vụ tấn công do nội gián gây ra Nhân viên chăm sóc sức khỏe tiết lộ thông tin về sức khỏe của những người nổi tiếng. Do bất mãn vì sắp bị đuổi việc Nhân viên chính phủ phát tán mã kịch bản độc hại Nhà đầu tư chứng khoán che giấu các khoản lỗ thông qua các giao dịch giả mạo Bình nhì trong quân đội Mỹ tiếp cận các tài liệu nhạy cảm Bài 1 - Giới thiệu về bảo mật 29
  • Tội phạm máy tính Tội phạm máy tính (Cybercriminal) Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính, gửi thư rác, và lừa đảo tài chính Những điểm khác biệt so với những kẻ tấn công thông thường Động cơ cao hơn Sẵn sàng chấp nhận rủi ro nhiều hơn Kiếm lợi nhiều hơn Ngoan cố hơn Mục đích: thu lợi tài chính Tội phạm máy tính (Cybercriminal) Mạng lưới gồm những kẻ tấn công, đánh cắp danh tính, gửi thư rác, và lừa đảo tài chính Những điểm khác biệt so với những kẻ tấn công thông thường Động cơ cao hơn Sẵn sàng chấp nhận rủi ro nhiều hơn Kiếm lợi nhiều hơn Ngoan cố hơn Mục đích: thu lợi tài chính Bài 1 - Giới thiệu về bảo mật 30
  • Tội phạm máy tính (tiếp) Tội ác máy tính (cybercrime) Mục tiêu tấn công nhằm vào các mạng tài chính Truy cập trái phép thông tin Đánh cắp thông tin cá nhân Tội phạm tài chính mạng (Financial Cybercriminal) Buôn bán thẻ tín dụng và thông tin tài chính Sử dụng thư rác để thực hiện lừa đảo Tội ác máy tính (cybercrime) Mục tiêu tấn công nhằm vào các mạng tài chính Truy cập trái phép thông tin Đánh cắp thông tin cá nhân Tội phạm tài chính mạng (Financial Cybercriminal) Buôn bán thẻ tín dụng và thông tin tài chính Sử dụng thư rác để thực hiện lừa đảo Bài 1 - Giới thiệu về bảo mật 31
  • Những kẻ khủng bố tin học Những kẻ khủng bố tin học (cyberterrorist) Động cơ liên quan tới hệ tư tưởng Tấn công do các nguyên tắc và các tín ngưỡng Mục đích tấn công: Hủy hoại thông tin điện tử Phát tán thông tin thất thiệt và tuyên truyền Ngăn cản các dịch vụ dành cho những người dùng máy tính hợp pháp Thực hiện các vụ xâm nhập trái phép Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủ chốt; làm sai hỏng các thông tin quan trọng Những kẻ khủng bố tin học (cyberterrorist) Động cơ liên quan tới hệ tư tưởng Tấn công do các nguyên tắc và các tín ngưỡng Mục đích tấn công: Hủy hoại thông tin điện tử Phát tán thông tin thất thiệt và tuyên truyền Ngăn cản các dịch vụ dành cho những người dùng máy tính hợp pháp Thực hiện các vụ xâm nhập trái phép Hậu quả: làm tê liệt hoạt động của các cơ sở hạ tầng chủ chốt; làm sai hỏng các thông tin quan trọng Bài 1 - Giới thiệu về bảo mật 32
  • Tấn công và phòng thủ Có rất nhiều vụ tấn công Sử dụng chung các bước cơ bản Để bảo vệ máy tính khỏi bị tấn công: Làm theo năm nguyên tắc bảo mật cơ bản Bài 1 - Giới thiệu về bảo mật 33
  • Các bước của một vụ tấn công Chứng nghiệm thông tin Ví dụ như loại phần cứng hoặc phần mềm được sử dụng Thâm nhập các tuyến phòng thủ Bắt đầu tấn công Sửa đổi các thiết lập bảo mật Cho phép kẻ tấn công xâm nhập trở lại hệ thống bị hại một cách dễ dàng Vòng sang các hệ thống khác Sử dụng các công cụ tương tự để tấn công sang các hệ thống khác Làm tê liệt các mạng và thiết bị Chứng nghiệm thông tin Ví dụ như loại phần cứng hoặc phần mềm được sử dụng Thâm nhập các tuyến phòng thủ Bắt đầu tấn công Sửa đổi các thiết lập bảo mật Cho phép kẻ tấn công xâm nhập trở lại hệ thống bị hại một cách dễ dàng Vòng sang các hệ thống khác Sử dụng các công cụ tương tự để tấn công sang các hệ thống khác Làm tê liệt các mạng và thiết bị Bài 1 - Giới thiệu về bảo mật 34
  • Bài 1 - Giới thiệu về bảo mật 35 Hình 1-6 Các bước thực hiện một vụ tấn công © Cengage Learning 2012
  • Phòng thủ chống lại các cuộc tấn công Các nguyên tắc bảo mật cơ bản Phân tầng Giới hạn Đa dạng Gây khó hiểu Đơn giản Bài 1 - Giới thiệu về bảo mật Các nguyên tắc bảo mật cơ bản Phân tầng Giới hạn Đa dạng Gây khó hiểu Đơn giản 36
  • Phân tầng Bảo mật thông tin phải tạo thành các tầng Cơ chế phòng vệ đơn lẻ có thể bị vượt qua một cách dễ dàng Kẻ tấn công sẽ khó khăn hơn khi phải vượt qua tất cả các tầng phòng thủ Phương pháp bảo mật phân tầng Rất hữu dụng để chống lại nhiều kiểu tấn công khác nhau Mang lại sự bảo vệ toàn diện Bảo mật thông tin phải tạo thành các tầng Cơ chế phòng vệ đơn lẻ có thể bị vượt qua một cách dễ dàng Kẻ tấn công sẽ khó khăn hơn khi phải vượt qua tất cả các tầng phòng thủ Phương pháp bảo mật phân tầng Rất hữu dụng để chống lại nhiều kiểu tấn công khác nhau Mang lại sự bảo vệ toàn diện Bài 1 - Giới thiệu về bảo mật 37
  • Giới hạn Giới hạn truy cập thông tin Giảm mối đe dọa đối với thông tin Chỉ những người cần sử dụng thông tin mới được cấp phép truy cập Khối lượng truy cập bị hạn chế, người dùng chỉ được truy cập những gì cần biết Các phương pháp giới hạn truy cập Công nghệ Quyền truy cập file Áp dụng thủ tục Cấm xóa tài liệu khỏi kho tài sản Giới hạn truy cập thông tin Giảm mối đe dọa đối với thông tin Chỉ những người cần sử dụng thông tin mới được cấp phép truy cập Khối lượng truy cập bị hạn chế, người dùng chỉ được truy cập những gì cần biết Các phương pháp giới hạn truy cập Công nghệ Quyền truy cập file Áp dụng thủ tục Cấm xóa tài liệu khỏi kho tài sản Bài 1 - Giới thiệu về bảo mật 38
  • Đa dạng Liên quan mật thiết tới việc phân tầng Các tầng phải khác nhau (đa dạng) Nếu kẻ tấn công vượt qua một tầng: Những kỹ thuật tương tự sẽ không thành công để xuyên phá các tầng khác Việc vi phạm một tầng bảo mật không làm ảnh hưởng tới toàn bộ hệ thống Ví dụ về sự đa dạng Sử dụng các sản phẩm bảo mật của các hãng sản xuất khác nhau Liên quan mật thiết tới việc phân tầng Các tầng phải khác nhau (đa dạng) Nếu kẻ tấn công vượt qua một tầng: Những kỹ thuật tương tự sẽ không thành công để xuyên phá các tầng khác Việc vi phạm một tầng bảo mật không làm ảnh hưởng tới toàn bộ hệ thống Ví dụ về sự đa dạng Sử dụng các sản phẩm bảo mật của các hãng sản xuất khác nhau Bài 1 - Giới thiệu về bảo mật 39
  • Gây khó hiểu Làm khó hiểu các chi tiết bên trong đối với thế giới bên ngoài Ví dụ: không tiết lộ thông tin chi tiết Kiểu máy tính Phiên bản hệ điều hành Nhãn hiệu phần mềm sử dụng Những kẻ tấn công sẽ khó khăn hơn để có thể thực hiện tấn công nếu không biết thông tin chi tiết về hệ thống Làm khó hiểu các chi tiết bên trong đối với thế giới bên ngoài Ví dụ: không tiết lộ thông tin chi tiết Kiểu máy tính Phiên bản hệ điều hành Nhãn hiệu phần mềm sử dụng Những kẻ tấn công sẽ khó khăn hơn để có thể thực hiện tấn công nếu không biết thông tin chi tiết về hệ thống Bài 1 - Giới thiệu về bảo mật 40
  • Đơn giản Bản chất của bảo mật thông tin rất phức tạp Các hệ thống bảo mật phức tạp Gây khó hiểu và khó khắc phục sự cố Thường được thỏa hiệp để những người dùng được tin cậy dễ sử dụng Hệ thống bảo mật nên đơn giản: Để những người trong nội bộ có thể hiểu và sử dụng Đơn giản với bên trong Phức tạp đối với bên ngoài Bản chất của bảo mật thông tin rất phức tạp Các hệ thống bảo mật phức tạp Gây khó hiểu và khó khắc phục sự cố Thường được thỏa hiệp để những người dùng được tin cậy dễ sử dụng Hệ thống bảo mật nên đơn giản: Để những người trong nội bộ có thể hiểu và sử dụng Đơn giản với bên trong Phức tạp đối với bên ngoài Bài 1 - Giới thiệu về bảo mật 41
  • Tổng kết Các vụ tấn công vào bảo mật thông tin đang gia tăng theo hàm mũ trong những năm gần đây Có một số lý do khiến cho việc phòng thủ chống lại các vụ tấn công hiện nay gặp khó khăn Bảo mật thông tin: bảo vệ tính toàn vẹn, tính cẩn mật và tính sẵn sàng của thông tin: Trên các thiết bị lưu trữ, xử lý và truyền tải thông tin Sử dụng các sản phẩm, con người và các thủ tục Các vụ tấn công vào bảo mật thông tin đang gia tăng theo hàm mũ trong những năm gần đây Có một số lý do khiến cho việc phòng thủ chống lại các vụ tấn công hiện nay gặp khó khăn Bảo mật thông tin: bảo vệ tính toàn vẹn, tính cẩn mật và tính sẵn sàng của thông tin: Trên các thiết bị lưu trữ, xử lý và truyền tải thông tin Sử dụng các sản phẩm, con người và các thủ tục Bài 1 - Giới thiệu về bảo mật 42
  • Tổng kết (tiếp) Mục đích của bảo mật thông tin Ngăn chặn đánh cắp dữ liệu Ngăn chặn đánh cắp danh tính Tránh các hậu quả liên quan tới luật pháp do việc không bảo mật thông tin Duy trì sản xuất Đẩy lùi chủ nghĩa khủng bố tin học Những kẻ tấn công máy tính thuộc nhiều thành phần khác nhau, với những động cơ khác nhau Một vụ tấn công có năm bước cơ bản Mục đích của bảo mật thông tin Ngăn chặn đánh cắp dữ liệu Ngăn chặn đánh cắp danh tính Tránh các hậu quả liên quan tới luật pháp do việc không bảo mật thông tin Duy trì sản xuất Đẩy lùi chủ nghĩa khủng bố tin học Những kẻ tấn công máy tính thuộc nhiều thành phần khác nhau, với những động cơ khác nhau Một vụ tấn công có năm bước cơ bản Bài 1 - Giới thiệu về bảo mật 43